¿Qué es spear phishing?

Como todas las estafas de phishing, el spear phishing implica manipular a las víctimas a través de historias falsas y escenarios fraudulentos. Los ataques de spear phishing pueden realizarse a través de mensajes de correo electrónico, mensajes de texto, aplicaciones de chat o llamadas telefónicas.

Según el Informe "Cost of a Data Breach" de IBM, el phishing es la causa más común de vulneraciones de datos. El spear phishing es una de las formas más efectivas de phishing porque los ciberdelincuentes adaptan sus estafas para que sean lo más convincentes posible para sus objetivos.

En un informe de Barracuda que analizó 50 000 millones de correos electrónicos, los investigadores descubrieron que el spear phishing representaba menos del 0,1 % de los correos electrónicos, pero provocó el 66 % de las infracciones exitosas¹. Aunque la vulneración media causada por el phishing cuesta 4,76 millones de dólares, según el informe "Cost of a Data Breach", los ataques de spear phishing pueden llegar a alcanzar los 100 millones de dólares².

El spear phishing, una forma de ataque de ingeniería social, explota la naturaleza humana en lugar de las vulnerabilidades de la red. Para contrarrestar esto de manera efectiva, los equipos de ciberseguridad deben combinar la formación de los empleados con herramientas avanzadas de detección de amenazas, formando una defensa sólida contra esta amenaza insidiosa.

El phishing es una categoría amplia que incluye cualquier ataque de ingeniería social que utilice mensajes fraudulentos para manipular a las víctimas. El spear phishing es un subconjunto del phishing que se centra en un objetivo cuidadosamente elegido.

Un ataque de phishing clásico, también llamado "phishing masivo", es un juego de números. Los hackers crean mensajes fraudulentos que parecen provenir de empresas, organizaciones o incluso famosos de confianza.

Los hackers envían estos mensajes de phishing a cientos o miles de personas, con la esperanza de engañar a algunas de ellas para que visiten sitios web falsos o faciliten información valiosa como los números de la seguridad social.

Sin embargo, los ataques de spear phishing son ataques dirigidos a personas específicas que tienen acceso a los activos que los ciberdelincuentes quieren.

Los suplantadores de identidad se centran en una persona o grupo concreto, como un ejecutivo o los directores regionales de ventas de una empresa. Llevan a cabo una investigación exhaustiva de la vida personal y profesional de sus objetivos y utilizan sus hallazgos para elaborar mensajes de estafa altamente creíbles.

La mayoría de los ataques de spear phishing siguen un proceso de cuatro pasos:

1. Establecer un objetivo 
2. Elegir un objetivo
3. Investigar el objetivo 
4. Elaborar y enviar el mensaje de phishing

Muchas estafas de spear phishing tienen como objetivo robar grandes sumas de dinero de las organizaciones. Los suplantadores pueden hacer esto de varias maneras. Algunos engañan a sus víctimas para que realicen un pago o una transferencia bancaria a un vendedor fraudulento. Otros manipulan a los objetivos para que compartan números de tarjetas de crédito, cuentas bancarias u otros datos financieros.

Las campañas de spear phishing también pueden tener otros objetivos perjudiciales:

• Propagación de ransomware u otro malware. Por ejemplo, un actor de amenazas puede enviar un archivo adjunto malicioso por correo electrónico disfrazado de documento inofensivo de Microsoft Word. Cuando la víctima abre el archivo, este instala automáticamente malware en su dispositivo.
  
  
• Robar credenciales de inicio de sesión, como nombres de usuario y contraseñas, que el hacker puede usar para organizar un ataque mayor. Por ejemplo, el hacker podría enviar al objetivo un enlace malicioso a una página fraudulenta de "actualice su contraseña". Este sitio web falso envía las credenciales que las víctimas ingresan de vuelta al hacker.
  
  
• Robar información confidencial, como datos personales de clientes o empleados, propiedad intelectual o secretos comerciales. Por ejemplo, el estafador podría hacerse pasar por un colega y pedirle a la víctima que comparta informes confidenciales.

A continuación, el spear phisher identifica un objetivo adecuado. El objetivo es alguien que pueda dar a los hackers acceso a los recursos que deseen, ya sea directamente (por ejemplo, mediante un pago) o indirectamente (por ejemplo, mediante la descarga de spyware).

Los intentos de spear phishing suelen dirigirse a empleados de nivel medio, bajo o nuevos con privilegios elevados de red o sistema. Estos empleados pueden ser menos rigurosos a la hora de seguir las políticas de la empresa que los objetivos de nivel superior. También pueden ser más susceptibles a las tácticas de presión, como un estafador que finge ser un alto directivo.

Las típicas víctimas son los gestores financieros autorizados a realizar pagos, los trabajadores de TI con acceso a la red a nivel de administrador y los responsables de RR. HH. con acceso a los datos personales de los empleados.

Otros tipos de ataques de spear phishing se dirigen exclusivamente a empleados de nivel ejecutivo. Para obtener más información, consulte la sección "Spear phishing, whaling and BEC".

El atacante investiga el objetivo y busca información que le permita hacerse pasar por una fuente fiable cercana al objetivo, como un amigo, un colega o un jefe.

Gracias a la cantidad de información que las personas comparten libremente en las redes sociales y otros lugares en línea, los ciberdelincuentes pueden encontrar esta información sin tener que buscar demasiado. Muchos hackers pueden crear un correo electrónico de spear phishing convincente después de solo un par de horas de búsqueda en Google.

Algunos hackers van aún más lejos. Entran en las cuentas de correo electrónico o aplicaciones de mensajería de la empresa y dedican tiempo a observar su objetivo para recopilar información aún más detallada.

A partir de sus investigaciones, los atacantes crean mensajes de phishing selectivos que parecen muy creíbles. La clave es que estos mensajes contienen detalles personales y profesionales que el destinatario cree erróneamente que sólo una fuente confiable podría conocer.

Por ejemplo, imagine que Jack es un gestor de cuentas por pagar en ABC Industries. Al observar el perfil público de LinkedIn de Jack, un atacante podría encontrar su cargo, responsabilidades, dirección de correo electrónico de la empresa, nombre y cargo del jefe y nombres y cargos de socios comerciales.

El hacker puede usar estos datos para enviar un correo electrónico creíble que dice provenir del jefe de Jack:

Hola, Jack:

Sé que procesas las facturas de XYZ Systems. Me acaban de informar de que están actualizando su proceso de pago y necesitan que todos los pagos futuros vayan a una nueva cuenta bancaria. Aquí está su factura más reciente con los detalles de la nueva cuenta. ¿Puedes enviar el pago hoy?

La factura adjunta es falsa y la "nueva cuenta bancaria" es una de las que posee el estafador. Jack entrega el dinero directamente al atacante cuando realiza el pago.

Un correo electrónico de phishing generalmente incluye señales visuales que le dan mayor autenticidad a la estafa. Por ejemplo, el atacante podría usar una dirección de correo electrónico falsa que muestre el nombre para mostrar del jefe de Jack pero oculte la dirección de correo electrónico fraudulenta que utilizó el atacante.

El atacante también puede copiar el correo electrónico de un compañero de trabajo falsificado e insertar una firma con el logo de la empresa ABC sectores.

Un estafador hábil podría incluso piratear la cuenta de correo electrónico real del jefe de Jack y enviar el mensaje desde allí, sin dar a Jack ninguna razón para sospechar.

Algunos estafadores llevan a cabo campañas híbridas de spear phishing que combinan correos electrónicos de spear phishing con mensajes de texto (llamados “spear phishing por SMS” o “smishing”) o llamadas telefónicas (conocidas como “spear phishing de voz” o “vishing”).

Por ejemplo, en lugar de adjuntar una factura falsa, el correo electrónico podría indicar a Jack que llame al departamento de cuentas por pagar de XYZ Systems a un número de teléfono controlado en secreto por un estafador.

Dado que utilizan múltiples modos de comunicación, los ataques híbridos de spear phishing suelen ser incluso más eficaces que los ataques estándar de spear phishing.

Además de ganarse la confianza de las víctimas, los ataques de spear phishing suelen utilizar técnicas de ingeniería social para presionar psicológicamente a sus objetivos para que realicen acciones que no deberían y que normalmente no harían.

Un ejemplo es hacerse pasar por un funcionario de alto nivel de la empresa, como en el correo electrónico de spear phishing de la sección anterior. Los empleados están condicionados a respetar a la autoridad y tienen miedo de no seguir las órdenes de un ejecutivo, incluso si las órdenes están fuera de lo común.

Otras tácticas comunes de ingeniería social incluyen:

• Pretexting: fabricar una historia o situación realista que el objetivo reconozca y con la que pueda relacionarse. Por ejemplo, un atacante podría hacerse pasar por un trabajador de TI y decirle al objetivo que es hora de una actualización de contraseña programada regularmente.

• Crear un sentido de urgencia: por ejemplo, un estafador podría hacerse pasar por un proveedor y afirmar que el pago de un servicio crítico está retrasado.

• Apelando a las emociones fuertes: desencadenar miedo, culpa, gratitud o codicia o hacer referencia a algo que le importa a la víctima puede nublar el juicio de la víctima y hacerla más susceptible a la estafa. Por ejemplo, un estafador que se hace pasar por el jefe de un objetivo podría prometer una "recompensa" por "ayudar con una solicitud de última hora".

La creciente disponibilidad de la inteligencia artificial (IA), específicamente de la IA generativa (IA gen), facilita a los suplantadores de identidad la realización de ataques sofisticados y muy eficaces.

Según el X-Force Threat Intelligence Index de IBM, un estafador tarda 16 horas en crear un correo electrónico de suplantación de identidad de forma manual. Con la IA, los estafadores pueden crear esos mensajes en solo cinco minutos.

En el caso concreto de los spear phishers, la IA puede agilizar algunas de las partes más complicadas de la estafa. Por ejemplo, los estafadores pueden utilizar la IA para automatizar la extracción de información de los perfiles de las redes sociales de los objetivos. Pueden alimentar las herramientas de IA generativa con muestras de escritura de las personas a las que pretenden suplantar, lo que permite a la IA generar mensajes de phishing más creíbles.

Los estafadores también pueden usar IA para crear documentos falsos convincentes, como facturas falsas, plantillas de correo electrónico, informes y otros materiales. Los hackers pueden incluso utilizar vídeos y grabaciones de voz generados por IA para que sea aún más difícil diferenciar entre estafas y comunicaciones reales.

Existen dos subtipos notables de ataque de spear phishing: el whaling (o "whale phishing") y el correo electrónico empresarial comprometido (BEC).

La principal diferencia entre el whaling y el spear phishing regular es que los ataques de whaling se dirigen específicamente a las víctimas de mayor perfil y valor. Piense en miembros del consejo de administración, directivos ejecutivos, famosos o políticos. Los balleneros buscan la presa que sólo estos objetivos pueden proporcionar, como grandes sumas de dinero en efectivo o acceso a información altamente confidencial.

Los ataques BEC son estafas de spear phishing que tienen como objetivo específico robar a las organizaciones. Existen dos formas comunes de BEC:

• Fraude del CEO: el estafador se hace pasar por un alto ejecutivo mediante la suplantación o el secuestro de una cuenta de correo electrónico, una aplicación de chat u otro canal de comunicación. El estafador envía mensajes a uno o más empleados de nivel inferior para indicarles que transfieran fondos a una cuenta fraudulenta o realicen una compra a un proveedor fraudulento.
  
  

• Cuenta de correo electrónico comprometido (EAC): el estafador obtiene acceso a la cuenta de correo electrónico de un empleado de nivel inferior, como un gestor de finanzas o ventas. El estafador utiliza la cuenta para enviar facturas fraudulentas a proveedores, dar instrucciones a otros empleados para que realicen pagos fraudulentos o solicitar acceso a datos confidenciales.

Los ataques BEC exitosos se encuentran entre las ciberamenazas más costosas, representando un total de 2900 millones de dólares en pérdidas reportadas en 2023 según el Informe sobre Delitos en Internet de la Oficina Federal de Investigaciones (FBI)³.

Los ataques de phishing se encuentran entre los ciberataques más difíciles de combatir porque las herramientas de ciberseguridad tradicionales no siempre pueden detectarlos. Los ataques de spear phishing son especialmente difíciles de interceptar porque su naturaleza específica y su contenido personalizado los hacen aún más convincentes para la persona promedio.

Sin embargo, hay medidas que las organizaciones pueden tomar para reforzar sus defensas contra el spear phishing y reducir las posibilidades de que el ataque tenga éxito: 

• Formación sobre concienciación sobre seguridad
• Controles de gestión de identidad y acceso
• Controles de ciberseguridad

Dado que los ataques de spear phishing se dirigen a las personas, no a las vulnerabilidades del sistema, la capacitación de los empleados es una línea de defensa importante. La formación sobre concienciación en materia de seguridad puede incluir:

• Técnicas para reconocer correos electrónicos sospechosos, como direcciones de correo electrónico falsas, mala ortografía y gramática, apuestas inusualmente altas y solicitudes raras.
  
  
• Consejos sobre cómo evitar compartir demasiado en las redes sociales.
  
  
• Políticas y procesos organizativos para contrarrestar las estafas, como no abrir archivos adjuntos no solicitados y confirmar solicitudes de pago inusuales a través de un segundo canal antes de actuar en consecuencia.
  
  
• Simulaciones de spear phishing y pruebas de penetración, que pueden ayudar a los empleados a aplicar lo que aprenden y ayudar a los equipos de seguridad a identificar vulnerabilidades para su corrección.

Las herramientas de IAM, como el control de acceso basado en roles y la autenticación multifactor (MFA), pueden impedir que los hackers accedan a las cuentas de los usuarios y a los datos confidenciales. Por ejemplo, si los ejecutivos habilitan la MFA en sus cuentas de correo electrónico, los hackers necesitan algo más que una contraseña para hacerse con esas cuentas.

Ningún control de seguridad puede detener por completo el spear phishing, pero hay varias herramientas que pueden ayudar a prevenir los ataques de spear phishing o a minimizar el daño que causan.

• Las herramientas de seguridad del correo electrónico, como los filtros de spam y las pasarelas de correo electrónico seguras, pueden ayudar a detectar y desviar los correos electrónicos de spear phishing en tiempo real.

• El software antivirus puede ayudar a neutralizar las infecciones de malware o ransomware que resultan de spear phishing.

• Las puertas de enlace web seguras, los firewalls y otras herramientas de filtrado web pueden bloquear los sitios web maliciosos a los que conducen los correos electrónicos de spear phishing a los usuarios.

• Los parches del sistema y del software pueden cerrar vulnerabilidades técnicas habitualmente utilizadas por los ciberdelincuentes.

• Las herramientas de protección de endpoint, como las soluciones de detección y respuesta de endpoints (EDR) y gestión unificada de endpoints (UEM) pueden impedir que los estafadores se apoderen de los dispositivos, se hagan pasar por usuarios o planten malware.

• Las soluciones de seguridad empresarial, como la gestión de incidentes y eventos de seguridad (SIEM) y las plataformas de orquestación, automatización y respuesta de seguridad (SOAR), pueden ayudar a detectar e interceptar la actividad maliciosa de la red vinculada a los ataques de spear phishing.